WordPress VIP与Apollo.io数据泄露调查：个人数据如何在暗影经济中流动

安全研究员Terence Eden发现他的个人手机号码被数据经纪公司Apollo.io获取，Apollo将来源归因于Parsely, Inc.（wpvip.com）——一家WordPress VIP公司。此案揭示了个人数据如何在数据经纪人的暗影经济中以最少的同意和透明度流动。

发现过程

Eden发现他的个人信息正被Apollo.io分发。当被问及来源时，Apollo表示："您的手机号码来自Parsely, Inc（wpvip.com），我们的客户之一，他们通过与我们平台分享商业联系人来参与我们的客户贡献者网络。"

问题是：Eden从未与Parsely有过业务往来，也没有理由认为他们会持有他的手机号码，更不用说与第三方共享。

数据追踪

Parsely于2021年成为WordPress VIP（Automattic）的一部分。当Eden就GDPR违规联系WordPress VIP时，他们的调查发现：

• 联系信息来自Eden约在2022年8月与WPScan（另一家Automattic公司）的一次会面
• WordPress VIP否认与Apollo.io有任何关系
• 他们否认出售或向第三方提供信息
• Eden不记得有这样一次会面

更大的问题

即使数据起源于名片或电子邮件签名，监管链也引发了严重问题：

1. 同意侵蚀 — 在一种语境中共享的个人数据迁移到完全不相关的用途
2. 数据经纪人不透明 — 从原始来源到最终分发的路径对数据主体不可见
3. GDPR局限性 — 尽管有监管框架，实际执行仍然极其困难
4. 企业问责 — 公司可以合理地否认责任，而数据继续流动

Eden表示："我已经不在乎了。我只是太厌倦了那些把个人数据当作可以交易、出售、重新包装和滥用的商品的公司。"